🧝🏽 🏹 😊 أصاب جهاز الكمبيوتر الخاص بصديقين واحصل على مفتاح إلغاء قفل جهاز الكمبيوتر الخاص بك: نظام تشغيل جديد لبرنامج تشفير الفدية 👨🏻‍🔬 🐐 👶🏾

أصبحت Ransomware مؤخرًا نوعًا شائعًا بشكل متزايد من البرامج الضارة. نحن نتحدث عن برامج التشفير الفدية التي ، من خلال إصابة جهاز كمبيوتر المستخدم ، تشفير جميع بياناته ، المفتاح الموجود على خادم المهاجم. بعد إصابة جهاز الكمبيوتر ، عادةً ما يُمنح المستخدم خيارًا - لدفع مبلغ معين لفك تشفير ملفاته أو قبول حقيقة أنه سيتم حذفها بعد 2-3 أيام. مع هذه الضحية ، يظهر موقت العد التنازلي.

هناك الكثير من المبتزين بالتشفير ؛ من بين كل هذا التنوع توجد عينات مثيرة للاهتمام في بعض الأحيان. على سبيل المثال ، هناك برنامج لا يقوم بتشفير أي شيء ، ولكنه ببساطة يحذف ملفات المستخدم بشكل دائم ، ويتظاهر بأنه برنامج فدية مشفر. نعم ، يطلب البرنامج المال ، لكن المستخدم لا يتلقى أي مفتاح حتى في حالة الدفع. تتم إزالة كل شيء حتى مع الدفع ، حتى بدونه. يحذف برنامج آخر عدة ملفات في الساعة بحيث يكون الضحية تحت الضغط ويدفع بشكل أسرع. في الآونة الأخيرة ، ظهرت "سلالة" جديدة من برامج الفدية تستخدم الطريقة الأكثر أصالة للاستفادة منها.

قبل بضعة أيام ، اكتشفت مجموعة من خبراء أمن المعلومات يطلقون على أنفسهم MalwareHunterTeam برنامجًا ضارًا يسمى منشئ المحتوى Popcorn Time. ولكن بدلاً من المحتوى المقرصن ، يقدم البرنامج طريقة مختلفة للترفيه عن ضحاياه. يتم تقديم المستخدم الذي تم إصابة جهاز الكمبيوتر الخاص به بهذا النوع من البرامج لإصابة أجهزة الكمبيوتر الخاصة بشخصين آخرين من أجل الحصول على مفتاح لفك تشفير بياناتهم الخاصة. أي أن المبدأ الذي تستخدمه المؤسسات التجارية بشكل شائع يعمل: "أحضر صديقين واحصل على شيء مجانًا". توجيه التجارة الإلكترونية في أنقى صورها. صحيح ، حتى تحصل الضحية الأولى على المفتاح ، يجب أن تدفع الضحيتان الأخريان اللتان أتيتا عبر رابط الإحالة. بدون هذا الشرط ، لن يكون هناك مفتاح.

لجعل الأمور أسوأ ، أضاف مطورو Popcorn Time ميزة أخرى: إذا قام المستخدم بإدخال رمز فك التشفير بشكل غير صحيح 4 مرات ، يبدأ حذف الملفات. من الواضح أن Popcorn Time لا علاقة له بالبرنامج الذي يحمل نفس الاسم ، والذي يوفر قفزة في محتوى الوسائط من الموارد "المقرصنة".

المبلغ الذي يطلبه مجرمو الإنترنت لتوفير مفتاح فك تشفير البيانات كبير جدًا. هذا هو 1 بيتكوين ، والذي يبلغ سعر الصرف الحالي حوالي 760 دولار أمريكي. علاوة على ذلك ، لن يتمكن من تمرير الملف - يجب على المستخدم الذي يريد إصابة ضحية وقعت بالفعل في حيلة المجرمين الإلكترونيين اتباع رابط الإحالة. إذا قام شخصان بذلك ، فمن المحتمل أن يكون أول شخص في هذه السلسلة يحصل على المفتاح.

لكي يتمكن المستخدم العادي من التعامل مع المهمة ، يعرض Popcorn Time عند بدء التشغيل نافذة تشرح الوضع بالكامل (تم نشر لقطة الشاشة أعلاه). يمكن للمستخدم إما الدفع ببساطة دون خداع أي شخص ، أو الذهاب بالطريقة الصعبة وإصابة جهاز الكمبيوتر لشخصين. يظهر رابط الإحالة مباشرة أسفل التعليمات. بالإضافة إلى ذلك ، يتم تعيين معرف فريد لكل نظام مصاب ، بالإضافة إلى إظهار للمستخدم العنوان الذي يرسل فيه عملات البيتكوين ، إذا كان لا يزال يقرر القيام بذلك.

عند تحليل شفرة المصدر لهذا البرنامج ، اتضح أنه لا يزال قيد الإنهاء. الوظيفة المذكورة أعلاه بالفعل "أدخلت الرمز بشكل غير صحيح 4 مرات - تم تلقي مسح من بيانات الكمبيوتر" لا تعمل بعد ، ولكن تم تسجيلها بالفعل في الرمز. لذلك لا يمكنك تحديد ما إذا كان البرنامج سيحذف ملفات المستخدم حقًا إذا حاولوا تخمين الرمز أم أنه خداع. من حيث المبدأ ، لا يحتاج المهاجمون إلى أي شيء لإضافة مثل هذه الوظيفة - عادة ما لا تكون الأخلاق أو القضايا الأخلاقية لمطوري برامج الفدية المشفرة وأنواع أخرى من البرامج الضارة قلقة للغاية.

كيف تحدث العدوى؟

عند بدء التشغيل ، يتحقق البرنامج لمعرفة ما إذا كان قد تم تشغيله على هذا الكمبيوتر من قبل ، والذي يتحقق من الملفات٪ AppData٪ \ been_here و٪ AppData٪ \ server_step_one. في حالة وجود ملف واحد على الأقل ، يقوم البرنامج بتدمير نفسه دون إصابة الكمبيوتر مرة أخرى (نعم ، لا يريد مطور هذه البرامج الضارة أن يبدو مثل الغشاش ، هذا أمر واضح). خلاف ذلك ، يقوم ملف التمهيد بتنزيل ملفات إضافية ويبدأ عملية التشفير.

ثم يبحث البرنامج عن مجلد Efiles ، "My Documents" ، "My Pictures" ، "My Music" و "Desktop" ، وبعد ذلك يحاول البحث عن الملفات ذات الامتداد المحدد فيها ، وتشفيرها باستخدام بروتوكول التشفير AES-256. يتلقى الملف الذي تتم معالجته بواسطة برنامج التشفير ransomware امتداد .filock.

فيما يلي قائمة بامتدادات الملفات التي تبحث عنها هذه البرامج الضارة لتشفيرها:

قائمة التمديدات

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp

أثناء عملية التشفير ، يعرض Popcorn Time شيئًا مثل نافذة التثبيت. على ما يبدو ، يتم ذلك بحيث لا يعتقد المستخدم أي شيء سيئ ويشعر بالأمان.

بعد ذلك ، يتم إنشاء ملفين - Rest_your_files.html و restore_your_files.txt. يفتح البرنامج ويظهر للمستخدم الملف الأول ، مع الامتداد .html.

يدعي المتخصصون الذين اكتشفوا هذا البرنامج أنه لا يزال بإمكانه التغيير بشكل كبير ، حيث يعمل منشئه بنشاط لتعديل البرامج الضارة.

مفتاح التسجيل المرتبط ببرنامج الفدية هذا هو: HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run "Popcorn_Time" [path_to] \ popcorn_time.exe. تجزئات المثبت - SHA256: fd370e998215667c31ae1ac6ee81223732d7c7e7f44dc9523f2517adffa58d51.

يمكنك التأكد من ظهور مثيلات أكثر إثارة للاهتمام من برامج الفدية المشفرة قريبًا. بالمناسبة ، جعل أحد البرامج الخبيثة مؤخرًا السفر لركاب خط سان فرانسيسكو للسكك الحديدية مجانًا. أصاب هذا البرنامج جميع محطات الدفع ، لذلك لم يتمكن الركاب ببساطة من الدفع وتم السماح لهم بالركوب مجانًا (بالطبع ، مؤقتًا).

أصاب جهاز الكمبيوتر الخاص بصديقين واحصل على مفتاح إلغاء قفل جهاز الكمبيوتر الخاص بك: نظام تشغيل جديد لبرنامج تشفير الفدية

كيف تحدث العدوى؟

More articles: